前些天一位朋友要我?guī)兔ψ鲆粏吸c(diǎn)登錄,其實(shí)這個(gè)概念早已耳熟能詳,但實(shí)際應(yīng)用很少,難得最近輕閑,于是決定通過本文來詳細(xì)描述一個(gè)SSO解決方案,希望對大家有所幫助。SSO的解決方案很多,但搜索結(jié)果令人大失所望,大部分是相互轉(zhuǎn)載,并且描述的也是走馬觀花。
閑話少敘,進(jìn)入正題,我的想法是使用集中驗(yàn)證方式,多個(gè)站點(diǎn)集中Passport驗(yàn)證。 如下圖所示:
為方便清晰描述,先定義幾個(gè)名詞,本文中出現(xiàn)之處均為如下含義。
主站:Passport集中驗(yàn)證服務(wù)器 http://www.passport.com/ 。
分站:http://www.a.com/、http://www.b.com/、http://www.c.com/
憑證:用戶登錄后產(chǎn)生的數(shù)據(jù)標(biāo)識,用于識別授權(quán)用戶,可為多種方式,DEMO中主站我使用的是Cache,分站使用Session。
令牌:由Passport頒發(fā)可在各分站中流通的唯一標(biāo)識。
OK,現(xiàn)在描述一下單點(diǎn)登錄的過程:
情形一、匿名用戶:匿名用戶訪問分站a上的一個(gè)授權(quán)頁面,首先跳轉(zhuǎn)到主站讓用戶輸入帳號、密碼進(jìn)行登錄,驗(yàn)證通過后產(chǎn)生主站憑證,同時(shí)產(chǎn)生令牌,跳轉(zhuǎn)回分站a,此時(shí)分站a檢測到用戶已持有令牌,于是用令牌再次去主站獲取用戶憑證,獲取成功后允許用戶訪問該授權(quán)頁面。同時(shí)產(chǎn)生分站a的本地憑證,當(dāng)該用戶需要再次驗(yàn)證時(shí)將先檢查本地憑證,以減少網(wǎng)絡(luò)交互。
情形二、在分站a登錄的用戶訪問分站b:因?yàn)橛脩粼诜终綼登錄過,已持有令牌,所以分站b會(huì)用令牌去主站獲取用戶憑證,獲取成功后允許用戶訪問授權(quán)頁面。同時(shí)產(chǎn)生分站b的本地憑證。
設(shè)計(jì)完成后,接下來是方案實(shí)現(xiàn)的一些關(guān)鍵點(diǎn):
令牌:令牌由主站頒發(fā),主站頒發(fā)令牌同時(shí)生成用戶憑證,并記錄令牌與用戶憑證之間的對應(yīng)關(guān)系,以根據(jù)用戶提供的令牌響應(yīng)對應(yīng)的憑證;令牌要在各跨域分站中進(jìn)行流通,所以DEMO中令牌我使用主站的Cookie,并指定Cookie.Domain="passport.com"。各分站如何共享主站的Cookie?從分站Redirect到主站頁面,然后該頁面讀取Cookie并以URL參數(shù)方式回傳即可,可在DEMO代碼中查看詳細(xì)實(shí)現(xiàn),當(dāng)然如果哪位有更好的令牌實(shí)現(xiàn)方式也拿出來分享。
復(fù)制代碼 代碼如下:
//產(chǎn)生令牌
string tokenValue = Guid.NewGuid().ToString().ToUpper();
HttpCookie tokenCookie = new HttpCookie("Token");
tokenCookie.Values.Add("Value", tokenValue);
tokenCookie.Domain = "passport.com";
Response.AppendCookie(tokenCookie);
主站憑證:主站憑證是一個(gè)關(guān)系表,包含了三個(gè)字段:令牌、憑證數(shù)據(jù)、過期時(shí)間。有多種實(shí)現(xiàn)方式可供選擇,要求可靠的話用數(shù)據(jù)庫,要求性能的話用Cache,DEMO中我使用的是Cache中的DataTable。如下代碼所示:
復(fù)制代碼 代碼如下:
/// summary>
/// 初始化數(shù)據(jù)結(jié)構(gòu)
/// /summary>
/// remarks>
/// ----------------------------------------------------
/// | token(令牌) | info(用戶憑證) | timeout(過期時(shí)間) |
/// |--------------------------------------------------|
/// /remarks>
private static void cacheInit()
{
if (HttpContext.Current.Cache["CERT"] == null)
{
DataTable dt = new DataTable();
dt.Columns.Add("token", Type.GetType("System.String"));
dt.Columns["token"].Unique = true;
dt.Columns.Add("info", Type.GetType("System.Object"));
dt.Columns["info"].DefaultValue = null;
dt.Columns.Add("timeout", Type.GetType("System.DateTime"));
dt.Columns["timeout"].DefaultValue = DateTime.Now.AddMinutes(double.Parse(System.Configuration.ConfigurationManager.AppSettings["timeout"]));
DataColumn[] keys = new DataColumn[1];
keys[0] = dt.Columns["token"];
dt.PrimaryKey = keys;
//Cache的過期時(shí)間為 令牌過期時(shí)間*2
HttpContext.Current.Cache.Insert("CERT", dt, null, DateTime.MaxValue, TimeSpan.FromMinutes(double.Parse(System.Configuration.ConfigurationManager.AppSettings["timeout"]) * 2));
}
}
分站憑證:分站憑證主要用于減少重復(fù)驗(yàn)證時(shí)網(wǎng)絡(luò)的交互,比如用戶已在分站a上登錄過,當(dāng)他再次訪問分站a時(shí),就不必使用令牌去主站驗(yàn)證了,因?yàn)榉终綼已有該用戶的憑證。分站憑證相對比較簡單,使用Session、Cookie均可。
分站SSO頁面基類:分站使用SSO的頁面會(huì)做一系列的邏輯判斷處理,如文章開頭的流程圖。如果有多個(gè)頁面的話不可能為每個(gè)頁寫一個(gè)這樣的邏輯,OK,那么把這套邏輯封裝成一個(gè)基類,凡是要使用SSO的頁面繼承該基類即可。如下代碼所示:
復(fù)制代碼 代碼如下:
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
using System.Text.RegularExpressions;
namespace SSO.SiteA.Class
{
/// summary>
/// 授權(quán)頁面基類
/// /summary>
public class AuthBase : System.Web.UI.Page
{
protected override void OnLoad(EventArgs e)
{
if (Session["Token"] != null)
{
//分站憑證存在
Response.Write("恭喜,分站憑證存在,您被授權(quán)訪問該頁面!");
}
else
{
//令牌驗(yàn)證結(jié)果
if (Request.QueryString["Token"] != null)
{
if (Request.QueryString["Token"] != "$Token$")
{
//持有令牌
string tokenValue = Request.QueryString["Token"];
//調(diào)用WebService獲取主站憑證
SSO.SiteA.RefPassport.TokenService tokenService = new SSO.SiteA.RefPassport.TokenService();
object o = tokenService.TokenGetCredence(tokenValue);
if (o != null)
{
//令牌正確
Session["Token"] = o;
Response.Write("恭喜,令牌存在,您被授權(quán)訪問該頁面!");
}
else
{
//令牌錯(cuò)誤
Response.Redirect(this.replaceToken());
}
}
else
{
//未持有令牌
Response.Redirect(this.replaceToken());
}
}
//未進(jìn)行令牌驗(yàn)證,去主站驗(yàn)證
else
{
Response.Redirect(this.getTokenURL());
}
}
base.OnLoad(e);
}
/// summary>
/// 獲取帶令牌請求的URL
/// 在當(dāng)前URL中附加上令牌請求參數(shù)
/// /summary>
/// returns>/returns>
private string getTokenURL()
{
string url = Request.Url.AbsoluteUri;
Regex reg = new Regex(@"^.*\?.+=.+$");
if (reg.IsMatch(url))
url += "Token=$Token$";
else
url += "?Token=$Token$";
return "http://www.passport.com/gettoken.aspx?BackURL=" + Server.UrlEncode(url);
}
/// summary>
/// 去掉URL中的令牌
/// 在當(dāng)前URL中去掉令牌參數(shù)
/// /summary>
/// returns>/returns>
private string replaceToken()
{
string url = Request.Url.AbsoluteUri;
url = Regex.Replace(url, @"(\?|)Token=.*", "", RegexOptions.IgnoreCase);
return "http://www.passport.com/userlogin.aspx?BackURL=" + Server.UrlEncode(url);
}
}//end class
}
用戶退出:用戶退出時(shí)分別清空主站憑證與當(dāng)前分站憑證。如果要求A站點(diǎn)退出,B、C站點(diǎn)也退出,可自行擴(kuò)展接口清空每個(gè)分站憑證。
主站過期憑證/令牌清除:定時(shí)清除(DataTable)Cache[“CERT”]中timeout字段超過當(dāng)前時(shí)間的記錄。
您可能感興趣的文章:- asp.net BasePage類+Session通用用戶登錄權(quán)限控制
- ASP.NET中在一般處理程序中使用session的簡單介紹
- ASP.NET Session使用詳解
- asp.net(c#)有關(guān) Session 操作的幾個(gè)誤區(qū)
- ASP.NET登錄注冊頁面實(shí)現(xiàn)
- 一款經(jīng)典的ajax登錄頁面 后臺asp.net
- ASP.NET MVC5網(wǎng)站開發(fā)用戶登錄、注銷(五)
- .net MVC使用Session驗(yàn)證用戶登錄(4)
